Контроль доступу (інформатика)
Контроль доступу — функція відкритої системи, що забезпечує технологію безпеки, яка дозволяє або забороняє доступ до певних типів даних, засновану на ідентифікації суб'єкта, якому потрібен доступ, і об'єкта даних, що є метою доступу.
Контроль доступу є одним з найважливіших елементів захисту комп'ютера й інформації на ньому. Доступ до захищеної інформації повинен бути обмежений, щоб тільки люди, які мають право доступу, могли отримувати цю інформацію. Комп'ютерні програми і в багатьох випадках чужорідні комп'ютери за допомогою локальної мережі, Інтернету, бездротової мережі можуть отримати секретну інформацію, яка не призначена їм. Це може завдати як фінансових, так і інформаційних втрат.
У зв'язку з цим необхідний механізм контролю доступу до захищеної інформації. Складність механізмів контролю доступу повинна бути у паритеті з цінністю інформації, тобто що важливішою або ціннішою є інформація, то складнішими повинні бути механізми контролю доступу.
Основними механізмами контролю доступу є ідентифікація й аутентифікація[1].
Ідентифікація[ред. | ред. код]
Ідентифікація — надання суб'єктам і об'єктам ідентифікаторів і (або) порівняння ідентифікатора з переліком наданих ідентифікаторів. Якщо людина робить заяву «Доброго дня, мене звуть ...», вона заявляє про те, хто вона є. Проте, її заява може й не бути правдою.
Щоб визначити людину за ім'ям, необхідно перевірити чи це саме ця людина. Тут починається автентифікація.
Автентифікація[ред. | ред. код]
Автентифікація є актом перевірки заяви особи.
Коли, наприклад, людина йде до банку і хоче зняти зі свого рахунку грошову суму, працівник банку запитує паспорт, щоб перевірити справжність. Банківський працівник дивиться на людину і звіряє з фотографією в паспорті. Переконавшись у достовірності заяви — виконує операцію.
Існує два різних типи інформації, яка може бути використана для перевірки дійсності: те, що знаєте тільки ви, або те, що є тільки у вас. Прикладом того, що ви знаєте, можуть бути такі речі, як ПІН-код, пароль, або дівоче прізвище вашої матері. Прикладами того, що у вас є, можуть бути водійські права або магнітні картки. Також це можуть бути біометричні прилади. Прикладами біометрії може бути відбиток пальця, голос і сітківка ока. Сувора автентифікація вимагає надання інформації від двох з трьох різних типів автентифікації інформації. Наприклад, те, що ви знаєте, а також хто ви. Це називається двофакторною автентифікацією.
У комп'ютерних системах, що використовуються сьогодні, ім'я користувача і пароль є найбільш поширеною формою автентифікації. Імена користувачів і паролі досягли своєї мети, але в сучасному світі вони не дають нам повної впевненості. Імена користувачів і паролі поступово замінюються більш складними механізмами автентифікації.
Після успішної ідентифікації й автентифікації, людина або програма отримує в своє розпорядження саме ті ресурси, до яких програма чи людина має право доступу, а також до допустимих до виконання дій (запуск, перегляд, створення, видалення або зміна). Це називається дозволами.
Адміністративна політика і процедури[ред. | ред. код]
Дозвіл на доступ до інформації та інших послуг починається з адміністративної політики і процедур. Політика визначає кому і за яких умов можуть бути доступні інформаційно-обчислювальні послуги. Механізми контролю доступу налаштовані на реалізацію цих стратегій.
Обчислювальні системи оснащуються різними механізмами контролю доступу, деякі пропонують на вибір кілька механізмів контролю доступу. Система пропонує кілька підходів до керування доступом або комбінацію з них.
Дискреційний підхід об'єднує весь контроль доступу під централізованим керуванням. Дискреційний підхід дає творцям або власникам інформаційного ресурсу можливість контролювати доступ до цих ресурсів.
За імперативного підходу до контролю доступу дозвіл або заборона доступу ґрунтується на безпеці класифікацій, покладених на інформаційний ресурс.
Також використовується контроль доступу на основі ролей.
Приклади загальних механізмів контролю доступу, що використовуються сьогодні, можна зустріти в багатьох системах управління базами даних.
Просте дозвіл до файлу використовується в ОС UNIX і Windows, правила доступу груп передбачені у Windows Network Systems, Kerberos, RADIUS, TACACS, прості списки доступу використовуються у багатьох брандмауерах і маршрутизаторах.
Щоб бути ефективними, політики та інші заходи контролю безпеки повинні використовуватися, підтримуватися і, по можливості, модернізуватися.
Всі невдалі і успішні спроби аутентифікації входу в систему, а також дані про те, ким і коли відбувалися зміни інформації, повинні записуватися.
Див. також[ред. | ред. код]
- Система контролю і управління доступом
- Авторизація
- Вибіркове керування доступом
- Мандатне керування доступом
- Керування доступом на основі ролей
Примітки[ред. | ред. код]
- ↑ Unifying Identity management, physical access control with security software | Security News — SourceSecurity.com. Архів оригіналу за 19 травня 2017. Процитовано 6 квітня 2018.
Посилання[ред. | ред. код]
- Контроль доступу // Термінологічний словник з питань запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму, фінансуванню розповсюдження зброї масового знищення та корупції / А. Г. Чубенко, М. В. Лошицький, Д. М. Павлов, С. С. Бичкова, О. С. Юнін. — Київ : Ваіте, 2018. — С. 354-355. — ISBN 978-617-7627-10-3.
- RFC 4949 — Internet Security Glossary, Version 2 [Архівовано 13 червня 2016 у Wayback Machine.](англ.)
- Definition: access control [Архівовано 1 березня 2013 у Wayback Machine.] Federal Standard 1037C[en](англ.)